企業組織面對的內部攻擊挑戰，如同那些來自其「網路邊界」外部威脅一樣嚴重。隨著分散式Internet連接性、虛擬私有網路(VPN)、無線科技、筆記型電腦、聯網PDA和extranet的興起，現在的企業網路已不存在區分內外的疆界。今天，不論公司內部員工、承包商和顧問、電子通勤族等，經常從住家透過Internet連接網路，而且不只是收發電子郵件，還包括存取關鍵性的內部資訊。對於需要隨時隨地輕易存取資訊資源的員工而言，此種擴充的連接性有助於大幅提升生產力，但同時也形成一種安全夢魘。

這些資安的挑戰已促成一種新的深層安全防護技術發展—網路存取控制(Network Access Control;NAC)。TippingPoint NAC讓企業執行設備及用戶政策，以確保終端裝置及精細的網路存取控管得而落實。此解決方案透過將設備與用戶管理連繫至IPS入侵預防系統，達成『IPS Secure NAC』的360°全方位資安防護，提供無間斷及精細的流量控制，效用超越預先及後發式檢測。透過整合設備、用戶及以IPS為本的流量分類，配合TippingPoint的獨特終端設備隔離技術，企業可以在網絡存取及運用上擁有更大控制權，並可減少網路資安成本及複雜性。

更進一步說明，IPS-Secured NAC 可以將那些未管控、不安全的裝置、使用者和流量，轉換成受管控且安全。IPS是符合這項客戶明確需求的基礎，因為它具備業經驗證的深層封包檢測、分類和政策執行功能。NAC有其地位，但並不是最終的方案。21世紀的網路安全需要訴諸一種整合的能力，藉由政策以管控裝置、使用者和流量，克服快速演變的威脅挑戰，排除管理實質上如網路界線隨著員工／裝置機動性而模糊的開放網路面對的困難，以及適應一個越來越嚴苛的資料法規遵循環境。

TippingPoint的方案超越傳統NAC的登入前和登入後檢查，而將裝置和使用者政策鏈結到唯有藉由一個IPS才可能實現的細緻且持續之流量控制。藉由整合裝置、使用者和IPS-based流量分類與政策執行，企業對於網路的存取與利用將能掌握更大的控制能力，同時降低網路安全維護成本與複雜性。

在一個IPS-Secured NAC網路內，TippingPoint NAC、TippingPoint IPS、TippingPoint Quarantine三者互通作業，確保阻斷每一端點的所有惡意流量，而可疑或未遵循政策的流量將會觸發其他政策控制動作，包括阻斷、隔離檢疫、預警或流量管制。現在，網路和安全人員對於整個網路周邊掌握了前所未有的管控能力，包括以整合政策為基礎的能見度和使用者、裝置與流量控制。

在各家廠商的NAC方案中，入門級的NAC方案提供終端設備授權，以及在網路層面作一定程度的健康狀態檢測；高階的NAC方案將這些功能伸延至包含以間隔為本的設備政策後發式檢測，並基於簡單的攻擊行為模式，作有限度的流量偵測。不過，這些方案均欠缺TippingPoint IPS的卓越表現，同時亦缺乏不停更新的資安智能，難以提供最先進的偵測及資安執行能力。在資安威脅及攻擊快速演進的世界中，企業部署具備不合標準的流量分類執行能力的NAC方案，是一種冒險的投資，並且會因為該類NAC而誤以為網路已安全。

TippingPoint亞太區董事總經理葉精良表示表示：「全面的網路資安須要兼顧存取控管及攻擊控制。雖然有大部分的NAC方案提供相關授權及認證，但若是缺乏如TippingPoint IPS的連續性攻擊控制方案， NAC便不能提供保護網路存取所需的精確的視野及執行能力。」

TippingPoint NAC
TippingPoint NAC方案協助企業實施裝置暨使用者政策，確保網路端點之政策遵循以及維護細部與分層的網路控管，甚至涵蓋初始網路登入後的狀態。在一個TippingPoint NAC環境內，每一台裝置及其使用者都必須接受存取控制政策的嚴格認證、授權、以及對於政策遵循狀態的檢查與執行。未通過檢查的裝置則要求其根據政策級別進行改正。使用者存取權的控制是透過與既有權限管理系統整合實施，包括Active Directory、LDAP和RADIUS。

TippingPoint NAC方案包括四個單元：

1. NAC Policy Server
2. NAC Services Server
3. NAC Policy Enforcer
4. Endpoint Posture Agent

TippingPoint NAC具備卓越性能，包括數以千兆位元計 (multi-gigabit) 的吞吐量、如交換器般的短延遲性，並可以高準繩度同時運行數以千計的動態漏洞過濾器的IPS，因此可以提供整合式存取及攻擊控制兼備的政策。此外，IPS必須具備防禦最新網路威脅的能力。由TippingPoint DV Labs提供的Digital Vaccine數位疫苗服務，是TippingPoint IPS方案的根本元件。Digital Vaccine數位疫苗服務為IPS提供數以千計的過濾器，以先法制人方式對付蠕蟲、病毒、木馬程式、拒絕服務 (denial of service) 攻擊、間諜軟件、網路釣魚及網路語音的安全威脅。

TippingPoint亞太區高級銷售總監葉精良表示：「除了為設備、用戶及流量設定有關管控之外，TippingPoint NAC亦與其他設備及用戶政策執行相配合，包括DHCP、802.1x及Wi-Fi/Wi-Max。該方案可在任何環境、有線或無線網絡中發揮強勁資訊安全防護作用，毋須改變任何網路基礎建設，全因該方案只需在網路上作純覆蓋式部署。不論是Windows，還是Linux及MacOS 9.x (或以上)，該方案亦可支援。TippingPoint NAC的開放式系統方案，較目前市場上的其他NAC方案更為優勝。」

TippingPoint NAC結合了強大的使用者／裝置分類和TippingPoint IPS所發展出的世界頂級的網路政策執行，為藉由802.1x或DHCP的政策執行提供彈性選項。完備的功能，包括政策制定、使用者／裝置／流量分類、以及透過自動化修正(例如阻斷、隔離、速率限制和預警)以維護政策執行等，協助企業更有效瓦解與日俱增的網路內外安全威脅。

- 新聞稿有效日期，至2007/10/21為止

上一篇：美國SeaMobile採用Blue Coat 加速郵輪上網路存取速度
下一篇：Winsafe 資訊安全系統推出大量授權方案